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Bescheinigung 



REC'D f 0 NOV 1999 



Die Deutsche Telekom AG in Bonn/Deutschland hat eine Patentanmeldung unter der 
Bezeichnung 

"Verfahren zum Etablieren eines gemeinsamen Schlussels 
zwischen einer Zentrale und einer Gruppe von Teilnehmern" 



am 9. Oktober 1 998 beim Deutschen Patent- und Markenamt eingereicht. 

Das angeheftete Stuck ist eine richtige und genaue Wiedergabe der ursprungli- 
chen Unterlage dieser Patentanmeldung. 



Die Anmeldung hat im Deutschen Patent- und Markenamt vorlaufig das Symbol 
H 04 L 9/30 der International Patentklassifikation erhalten. 



Munchen, den 12. Oktober 1999 
Deutsches Patent- und Markenamt 
Der President 

Im Auftrag 
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Verfahren zum Etablieren eines gemeinsamen Schliissels zwischen einer Zentrale 
und einer Gruppe von Teilnehmern 

Beschreibung: 

Die Erfindung betrifft ein Verfahren zum Etablieren eines gemeinsamen Schliissels 
zwischen einer Zentrale und einer Gruppe von Teilnehmern gemafi dem Oberbegriff des 
unabhangigen Anspruchs. Verschlusselungsverfahren in vielfaltiger Art gehoren zum 
Stand der Technik und haben zunehmend kommerzielle Bedeutung. Sie werden dazu 
10 eingesetzt, Nachrichten uber allgemein zugangliche Ubertragungsmedien zu iibertragen, 
wobei aber nur die Besitzer eines Krypto-Schliissels diese Nachrichten im Klartext lesen 
konnen. 

Ein bekanntes Verfahren zur Etablierung eines gemeinsamen Schliissels iiber unsichere 
Kommunikationskanale ist z. B. das Verfahren von W. Diffie und W. Hellmann ( siehe 
15 DH-Verfahren W. DifFie und M. Hellmann, siehe New Directions in Cryptography, 
IEEE Transaction on Information Theory, IT-22(6):644-654, November 1976) 
Grundlage des DH-Schlusselaustauschs [DH76] ist die Tatsache, daB es praktisch 
unmoglich ist, Logarithmen modulo einer groGen Primzahl p zu berechnen. Dies machen 
sich Alice und Bob in dem unten abgebildeten Beispiel zunutze, indem sie jeweils eine 
20 Zahl x bzw. y kleiner als p (und teilerfremd zu p-1) geheim wahlen. Dann senden sie sich 
(nacheinander oder gleichzeitig) die x-te (bzw. y-te) Potenz einer offentlich bekannten 
Zahl a zu. Aus den empfangenen Potenzen konnen sie durch erneutes Potenzieren mit x 
bz w . y e inen gemeinsamen Schlussel Ki^ a ^ bergchnen^Ein^Angreifer, de r nui^a^ind, 
a y sieht, kann daraus K nicht berechnen. (Die einzige heute bekannte Methode dazu 
25 bestunde darin, zunachst den Logarithmus z.B. von a x zur Basis a modulo p zu 
berechnen, und dann a y damit zu potenzieren.) 
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Alice Bob 

Wahlt x geheim a x 

y Wahlt y geheim 

Bildet K := (a*)* = a** Bildet K := (a x )y = 

Beispiel fur Diffie-Hellman-Schliisselaustausch 

Das Problem beim DH-Schlusselaustausch besteht darin, dafi Alice nicht weiB, ob sie 
5 tatsachlich mit Bob kommuniziert, oder mit einem Betriiger. In IPSec wird dieses 
Problem durch den Einsatz von Public-Key-Zertifikaten gelost, in denen durch eine 
^^^^^ vertrauenswurdige Instanz die Identitat eines Teilnehmers mit einem offentlichen 
^^^^ Schliissel verknupft wird. Dadurch wird die Identitat eines Gesprachspartners 
uberpriifbar. 

10 

Der DH-Schlusselaustausch kann auch mit anderen mathematischen Strukturen realisiert 
werden, z.B. mit endlichen Korpern GF(2 n ) oder Elliptischen Kurven. Mit diesen 
Alternativen kann man die Performance verbessern. 

Dieses Verfahren ist allerdings nur zur Vereinbarung eines Schliissels zwischen zwei 
15 Teilnehmern geeignet 

Es wurden verschiedene Versuche unternommen, das DH- Verfahren auf drei oder mehr 
a^^^ Teilnehmer zu erweitern (Gruppen DH). Einen Uberblick iiber den Stand der Technik 
^^^B bietet M. Steiner, G.Tsudik, M. Waidner, in DifFie-Hellmann Key Distribution Extended 

to Group Communication, Proc. 3 rd ACM Conference on Computer and Communicatios 

20 Security, Marz 1996, Neu Delhi, Indien. 



Eine Erweiterung des DH-Verfahrens auf Teilnehmer A, B und C wird z.B. durch 
nachfolgende Tabelle beschrieben (Berechnungen jeweils mod p); 





A->B 


B -> C 


C->A 


1. Runde 


s a 


g b 


g c 


2. Runde 






g* 
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Nach Durchfuhrung dieser beiden Runden kann jeder der Teilnehmer den geheimen 
Schlussel g abc mod p berechnen, 

Bei alien diesen Erweiterungen tritt mindestens eines der folgenden Probleme auf: 
5 - Die Teilnehmer mussen in einer bestimmten Art und Weise geordnet sein, im obigen 
Beispiel z.B. als Kreis. 

- Die Teilnehmer haben gegenuber der Zentrale keinen EinfluB auf die Auswahl des 
Schlussels. 

- Die Rundenzahl ist abhangig von der Teilnehmerzahl. 

Diese Verfahren sind in der Regel schwer zu implementieren und sehr rechenaufwendig. 

Ein weiteres Verfahren zum gemeinsamen Etablieren eines Schlussels ist aus DE 195 38 
385.0 bekannt. Bei diesem Verfahren muC die Zentrale allerdings die geheimen Schlussel 
der Teilnehmer kennen. 
15 

Weiterhin ist eine Losung aus Burmester, Desmedt, A secure and efficient conference 
key distribution system, Proc. EUROCRYPT'94, Springer LNCS, Berlin 1994 bekannt, 
bei der zwei Runden zur Generierung des Schlussels benotigt werden, wobei in der 
zweiten Runde durch die Zentrale fur n Teilnehmer n Nachrichten der Lange p = ca. 

20 lOOOBit gesendet werden mussen. 

Bekannt ist auch ein als (n,t)-Threshold- Verfahren bezeichnetes kryptographisches 
Verfahren. Mit einem (n,t)-Threshold- Verfahren kann man einen Schlussel k so in t 

Teile , die shad ows genannt werden, zerlegen, dafi dieser Schlussel, k_aus_j_e_njdgrl 

shadows rekonstruiert werden kann (vgl. Beutelspacher, Schwenk, Wolfenstetter: 

25 Moderne Verfahren der Kryptographie (2. Auflage), Vieweg Verlag, Wiesbaden 1998). 

Das vorliegende Verfahren zur Erzeugung eines gemeinsamen Schlussels zwischen einer 
Zentrale und einer Gruppe von mindestens drei Teilnehmern soil den gleichen 
Sicherheitsstandard wie das DH- Verfahren aufweisen. Das Verfahren soil dabei jedoch 
30 einfach zu implementieren sein und einen minimalen Rechenaufwand benotigen. Das 



A 



.1 



08.10. /TZ/EK03-2/P98135 



• • • • • • 

• • • • • • 

• • • • • • 

• •• ••• ••• 

• • • • 
• • • • • • • 

Verfahren soli so ausgebildet sein, daO die geheimen Schliissel der Teilnehmer der 
Zentrale dabei nicht bekannt gemacht werden mussen. 

Das erfindungsgemaBe Verfahren, das dieser Aufgabenstellung gerecht wird, basiert auf 

5 den gleichen mathematischen Strukturen, wie das DH- Verfahren und weist daher 
vergleichbare Sicherheitsmerkmale auf Im Vergleich zu den bisher vorgeschlagenen 
Gruppen-DH- Verfahren ist es wesentlich effizienter im Hinblick auf Rechenaufwand und 
Kommunikationsbedarf . 

Nachfolgend wird das Wirkprinzip des erfindungsgemafien Verfahrens naher erlautert. 
10 Die Zentrale wird dabei mit Z bezeichnet, definierte Teilnehmer am Verfahren mit Tl- 
^^^^ Tn und jeder einzelne nicht konkret benannte Teilnehmer mit Ti. Die offentlich 
^^^F bekannten Komponenten des Verfahrens sind eine offentlich bekannte mathematische 
Gruppe G, vorzugsweise die multiplikative Gruppe aller ganzen Zahlen modulo einer 
groBen Primzahl p, und ein Element g der Gruppe G, vorzugsweise eine Zahl 0<g<p 
15 mit groBer multiplikativer Ordnung. Fur die Gruppe G konnen jedoch auch andere 

geeignete mathematische Strukturen verwendet werden, z.B. die multiplikative Gruppe 
eines endlichen Korpers, oder die Gruppe der Punkte einer elliptischen Kurve. 

20 Das Verfahren verlauft in drei Arbeitsschritten. 

^^^^^^ Im ersten Arbeitsschritt wird von jedem Teilnehmer Ti eine Nachricht der Form 

^^^^ (Ti, g 1 mod p) an die Zentrale gesendet, wobei i eine mittels eines Zufallsgenerators 
gewahlte zufallige Zahl des Teilnehmers Ti ist. 

25 Im zweiten Arbeitsschritt wird in der Zentrale Z K - 

- eine zufallige Zahl z generiert und fur jeden Teilnehmer Ti die Zahl (g l ) z mod p 
berechnet. 

- Bei n Teilnehmern werden in der Zentrale Z dann aus diesen n Zahlen n shares mit 
Hilfe eines an sich bekannten (n, 2n-l) Threshold Verfahrens abgeleitet. 

30 - In der Zentrale Z werden n-1 weitere shares s l ~s n ~ x ausgewahlt und zusammen mit der 
Zahl g z mod p an aile Teilnehmer Tl-Tn gesendet. 
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Im dritten Arbeitsschritt wird bei jedem Teilnehmer Ti der gemeinsamen Schliissel k 
berechnet, wobei 

- (g 2 V mod p = (g') z mod p berechnet wird, 

- daraus ein share des Threshold Verfahrens abgeleitet wird und 

- mit diesem share und s 1 ,..^ 11 " 1 als Geheimnis der gemeinsame Schlussel k ermittelt 
wird. 

Nachfolgend wird das erfihdungsgemaGe Verfahren anhand eines konkreten Beispiels fur 
drei Teilnehmer A, B, und C sowie einer Zentrale Z naher erlautert. Die Anzahl der 
Teilnehmer ist jedoch auf beliebig viele Teilnehmer enveiterbar. 
Bei diesem Beispiel betragt die Lange der Zahl p 1024 Bit; g hat eine multiplikative 
Ordnung von mindestens 2 160 . 

Das erfindungsgemaBe Verfahren lauft nach folgenden Verfahrensschritten ab: 

1. Teilnehmer A, B und C senden g a mod p, g b mod p und g c mod p an die Zentrale Z. 

2. In der Zentrale Z wird g az mod p, g bz mod p und g cz mod p berechnet, wobei jeweils 
die 128 Least Significant Bits davon als shares s A , Sb bzw. sc verwendet werden. In 
der Zentrale Z wird mittels des (n,2,-l)-Threshold- Verfahrens ein Polynom P(x) iiber 
einem endlichen Korper GF(2 128 ) vom Grad 2 berechnet, das durch die Punkte (l,s A ), 
(2,sb) und (3,sc) geht und durch diese eindeutig festgelegt ist. Der gemeinsame 
Schlussel k ist der Schnittpunkt dieses Polynoms mit der y-Achse, d. h. k; =P(0). Die 
Zentrale Z sendet nun g z mod p, s t ;=P(4) und s 2 ;=P(5) an die Teilnehmer A, B und C. 

3 . Beim Teilnehmer A wird (g 2 )* mod p berechnet. Im Ergebnis erhalt der Teilnehmer A 
mit den 128 Least Significant Bits dieses Wertes den share s A , der zusammen mit den 
shares Si und s 2 ausreicht, das Polynom P'(x) und damit auch den Schlussel k zu 
bestimmen. Bei den Teilnehmern B und C wird analog verfahren. 

Das oben beschriebene Verfahren kommt mit der minimalen Anzahl von zwei Runden 
zwischen den Teilnehmern Tl-Tn und Zentrale Z aus. In der zweiten Runde kann der 
Aufwand fur die von der Zentrale an die n Teilnehmer zu ubertragenden Zeichenfolgen 
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im Gegensatz zu der Losung von Burmester und Desmedt auf eine Lange von jeweils 
128 Bit pro Teilnehmer reduziert werden. 
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Verfahren zum Etablieren eines gemeinsamen Schlussels zwischen einer Zentrale 
und einer Gruppe von Teilnehmern 

( 1 ) Patentanspruch: 



Verfahren zum Etablieren eines gemeinsamen Schlussels k zwischen einer Zentrale Z 
und einer Gruppe von Teilnehmern Tl-Tn mit einer offentlich bekannten 
mathematischen Gruppe G und einem Element g eG von groBer Ordnung in der 
Gruppe G, so daB fur die Gruppe G und das Element g die Berechnung des 
diskxeten Logarithmus praktisch unmoglich ist, 
dadurch gekennzeichnet, daB 

a) von jedem Teilnehmer (Ti) eine Zufallszahl (i) generiert und aus dem bekannten 
Element geG und der jeweiligen Zufallszahl (i) von jedem Teilnehmer (Ti) der 
Wert (g 1 ) berechnet und zur Zentrale (Z) gesendet wird, daB 

b) in der Zentrale (Z) eine Zufallszahl (z) generiert wird, daB aus der Zufallszahl (z) 
und den empfangenen Werten(g l ) die Werte (g l ) z in G berechnet werden, daB aus 
diesen Werten n shares (si,...,Sn) eines Threshold- Verfahrens abgeleitet werden , und 
daB aus den shares (si,...,s„) ein (n, 2, -l)-Threshold- Verfahren konstruiert wird, 
wobei das durch dieses Verfahren implizid gegebene Geheimnis der zu etablierende 
Schlussel (k) ist, daB in der Zentrale (Z) n-1 weitere, von den shares (si,...,Sn) 
verschiedene shares (Sn+i,...S2n-i) zusammen mit dem Wert g z in G berechnet und an 
die Teilnehmer (Tl-Tn) ubertragen. werden, und daB 

c) bei jedem Teilnehmer (Ti) der zu etablierende Schlussel (k) dadurch rekonstruiert 
wird, daB aus dem von der Zentrale (Z) ubertragenen Wert (g z ) und der Zufallszahl 

25 (i) des jeweiligen Teilnehmers (Ti) der Wert fur (g z ) 1 in G berechnet wird, daB aus 

dem resultierenden Wert mittels eines Threshold Verfahrens der share (Si) abgeleitet 

ft 

wird und daB mit dem share (si) und den von der Zentrale (Z) ubertragenen shares 
(Sn+i,...S2n-i) mit Hilfe des (n,2,-l)-Threshold- Verfahrens der Schlussel (k) 
rekonstruiert wird. 

30 
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1. Verfahren zum Etablieren eines gemeinsamen Schlussels zwischen einer 
Zentrale und einer Gruppe von Teilnehmern 

2. Zusammenfassung: 

5 

2.1. Das vorliegende Verfahren zur Erzeugung eines gemeinsamen Schlussels zwischen 
einer Zentrale und einer Gruppe von mindestens drei Teilnehmern soli den gleichen 
Sicherheitsstandard wie das DH- Verfahren aufweisen. 

2.2. Das Verfahren basiert auf einer offentlich bekannten mathematischen Zahlengruppe 
(G) und einem Element der Gruppe g eG groCer Ordnung. Jeder der n Teilnehmer 
erzeugt eine Zufallszahl (i), berechnet den Wert von g l in G und sendet diesen Wert 
an die Zentrale (Z). In der Zentrale (Z) wird ebenfalls eine Zufallszahl (z) generiert 
und die Werte (g ! ) z in G berechnet. Aus diesen Werten werden die shares anhand 
eines Threshold- Verfahrens abgeleitet und aus ihnen ein (n,2n-l)-Threshold 
Verfahren konstruiert. Durch die Zentrale (Z) werden die erzeugten shares 
zusammen mit dem Werten (g 1 ) 2 an die n Teilnehmer ubertragen, die uber das 
(n,2n-l)-Threshold Verfahren den Schlussel (k) rekonstruieren konnen. 

2.3. Das erfmdungsgemaBe Verfahren laBt sich vorteilhaft zur Erzeugung eines 
kryptografischen Schlussels fur eine Gruppe von mehreren, mindestens jedoch drei 
Teilnehmern einsetzen. 
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